KR20070051233A - System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system - Google Patents
System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system Download PDFInfo
- Publication number
- KR20070051233A KR20070051233A KR1020050108811A KR20050108811A KR20070051233A KR 20070051233 A KR20070051233 A KR 20070051233A KR 1020050108811 A KR1020050108811 A KR 1020050108811A KR 20050108811 A KR20050108811 A KR 20050108811A KR 20070051233 A KR20070051233 A KR 20070051233A
- Authority
- KR
- South Korea
- Prior art keywords
- msk
- aaa
- eap
- authentication
- base station
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
본 발명은 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서, 상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하고; 상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하고; 상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고; 상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성한다.The present invention includes a mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (D-A) server, and a dual scalable authentication protocol. In a broadband wireless access communication system using an Extensible Authentication Protocol (EAP) method, the AAA-U server may generate a user master session key (MSK) generated by performing user reauthentication with respect to the mobile terminal according to the EAP method. Key) (MSK_U) to the AAA-D server; The AAA-D server generates a new MSK_U, MSK_U1, using the MSK_U and the device MSK (MSK_D) generated during the initial authentication of the mobile terminal, and then transmits the MSK_U1 to the base station; The base station generates a Pairwise Master Key (PMK) using the MSK_U1; The mobile terminal and the base station generate an authorization key (AK) using the PMK.
EAP-in-EAP, MSK_U, MSK_D, MSK_U1, PMK, AK, KDF EAP-in-EAP, MSK_U, MSK_D, MSK_U1, PMK, AK, KDF
Description
도 1은 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조를 개략적으로 도시한 도면1 is a diagram schematically illustrating an internal structure of an IEEE 802.16e communication system using a general EAP-in-EAP scheme.
도 2는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도2 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using a general EAP-in-EAP scheme.
도 3은 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도3 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using an EAP-in-EAP scheme according to an embodiment of the present invention.
본 발명은 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하는 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭 하기로 한다) 통신 시스템의 재인증 시스템 및 방법에 관한 것으로서, 특히 재인증시 단일 EAP 인증만을 통해 기기 인증과 사용자 인증을 수행하는 시스템 및 방법에 관한 것이다. The present invention is a broadband wireless access (BWA: Broadband Wireless Access, using a Extensible Authentication Protocol (EAP) (hereinafter referred to as "EAP") (hereinafter referred to as "twice EAP") The present invention relates to a re-authentication system and method for a communication system, and more particularly, to a system and a method for performing device authentication and user authentication through a single EAP authentication during re-authentication.
차세대 통신 시스템인 4세대(4G: 4th Generation, 이하 '4G'라 칭하기로 한다) 통신 시스템에서는 고속의 다양한 서비스 품질(Quality of Service: 이하 'QoS' 칭하기로 한다)을 가지는 서비스들을 사용자들에게 제공하기 위한 활발한 연구가 진행되고 있다. 특히, 현재 4G 통신 시스템에서는 무선 근거리 통신 네트워크(LAN: Local Area Network, 이하 'LAN'이라 칭하기로 한다) 시스템 및 무선 도시 지역 네트워크(MAN: Metropolitan Area Network, 이하 'MAN'이라 칭하기로 한다) 시스템과 같은 광대역 무선 접속 통신 시스템에 이동성(mobility)과 서비스 품질(QoS: Quality of Service)을 보장하는 형태로 고속 서비스를 지원하도록 하는 연구가 활발하게 진행되고 있으며, 그 대표적인 통신 시스템이 IEEE(Institute of Electrical and Electronics Engineers) 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템이다. The next generation communication system, the 4th generation (hereinafter referred to as 4G) communication system, provides users with services having various speeds of quality of service (hereinafter referred to as 'QoS') to users. There is active research going on. In particular, in the current 4G communication system, a wireless local area network (LAN) system and a wireless metropolitan area network (MAN) system are called. Researches are being actively conducted to support high-speed services in a form of guaranteeing mobility and quality of service (QoS) in a broadband wireless access communication system, such as the IEEE. Electrical and Electronics Engineers) 802.16a / d communication system and IEEE 802.16e communication system.
상기 IEEE 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템은 상기 무선 MAN 시스템의 물리 채널(physical channel)에 광대역(broadband) 전송 네트워크를 지원하기 위해 직교 주파수 분할 다중(OFDM: Orthogonal Frequency Division Multiplexing, 이하 'OFDM'이라 칭하기로 한다)/직교 주파수 분할 다중 접속(OFDMA: Orthogonal Frequency Division Multiple Access, 이하 'OFDMA'이라 칭하기로 한다) 방식을 적용한 통신 시스템이다.The IEEE 802.16a / d communication system and the IEEE 802.16e communication system are orthogonal frequency division multiplexing (OFDM) for supporting a broadband transmission network on a physical channel of the wireless MAN system. A communication system employing a " OFDM " / orthogonal frequency division multiple access (OFDMA) scheme.
그러면 여기서 도 1을 참조하여 twice EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 구조에 대해서 설명하기로 한다. 이하, 설명의 편의상 상기 twice EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(operation mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다. Next, a structure of an IEEE 802.16e communication system using a twice EAP scheme will be described with reference to FIG. 1. Hereinafter, for convenience of description, the twice EAP method will be referred to as an 'EAP-in-EAP method', and an operation mode using the EAP-in-EAP method will be referred to as an 'EAP-in-EAP mode'. Shall be.
상기 도 1은 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조를 개략적으로 도시한 도면이다.1 is a diagram schematically illustrating an internal structure of an IEEE 802.16e communication system using a general EAP-in-EAP scheme.
상기 도 1을 참조하면, 상기 IEEE 802.16e 통신 시스템은 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)(100)와, 기지국(BS: Base Station)(110)과, 기기(device) 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다)(이하 'AAA-D'라 칭하기로 한다) 서버(120)와, 사용자(user) AAA(이하, 'AAA-U'라 칭하기로 한다) 서버(130)를 포함한다. 상기 MS(100)는 상기 기지국(110)을 통해 상기 AAA-D 서버(120)와 기기 인증을 수행하고, 상기 기지국(110)을 통해 상기 AAA-U 서버(130)와 사용자 인증을 수행한다. 상기 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하므로 두 번의 EAP 방식에 따른 인증이 수행된다. 이하, 설명의 편의상 상기 EAP 방식을 사용하여 수행하는 인증을 'EAP 인증'이라 칭하기로 한다. 상기 두 번의 EAP 인증들중 첫 번째 EAP 인증은 사용자를 인증하기 위한 것이며, 두 번째 EAP 인증은 상기 첫 번째 EAP 인증이 성공한 후 기기를 인증하기 위한 것이다. Referring to FIG. 1, the IEEE 802.16e communication system includes a mobile station (MS) 100, a
상기 도 1에서는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조에 대해서 설명하였으며, 다음으로 도 2를 참조하여 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작에 대해서 설명하기로 한다.In FIG. 1, an internal structure of an IEEE 802.16e communication system using a general EAP-in-EAP method has been described. Next, an IEEE 802.16e communication system using a general EAP-in-EAP method will be described with reference to FIG. 2. An operation of performing reauthentication will be described.
상기 도 2는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도이다.2 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using a general EAP-in-EAP scheme.
상기 도 2를 설명하기에 앞서, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증 동작을 수행할 경우에도 초기 인증 동작을 수행할 경우와 마찬가지로 사용자 재인증 및 기기 재인증의 두 번의 EAP 인증들을 필요로 하며, 설명의 편의상 상기 재인증을 위한 EAP 인증을 'EAP 재인증'이라 칭하기로 한다. Prior to the description of FIG. 2, in the IEEE 802.16e communication system using the EAP-in-EAP method, even when the re-authentication operation is performed, the user re-authentication and device re-authentication are performed as in the case of performing the initial authentication operation. Two EAP authentications are required, and for convenience of explanation, the EAP authentication for re-authentication will be referred to as 'EAP re-authentication'.
상기 도 2를 참조하면, 먼저 기지국(220)이 사용자 재인증이 필요로 되는 시점에서 MS(200)로 EAP 재인증을 요구하는 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(200)와 기지국(220)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다) 버전 2(version 2)(이하, 'PKMv2'라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKMv2_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(220)은 상기 MS(200)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(211단계). Referring to FIG. 2, first, an EAP-Request / Identity (hereinafter, referred to as 'EAP-REQUEST') requesting an EAP reauthentication to the
상기 기지국(220)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(200)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지 에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(220)으로 송신한다(213단계). Upon receiving the PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message from the
상기 MS(200)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(220)은 상기 MS(200)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 상기 AAA-U 서버(260)로 그대로 포워딩(forwarding)한다. 상기 IEEE 802.16e 통신 시스템에서는 상기 기지국(220)과 AAA-U 서버(260)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신하는데, 상기 도 2에서는 상기 기지국(220)과 AAA-U 서버(260)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(220)은 RADIUS/ 억세스 요구/식별(RADIUS/ ACCESS REQUEST/IDENTITY, 이하 'RADIUS/ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA-U 서버(260)로 송신하게 된다(215단계).The
상기 기지국(220)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-U 서버(260)는 상기 MS(200)에 대한 사용자 재인증을 수행하는데, 상기 AAA-U 서버(260)는 EAP-MD5(Message-Digest5) 방식과, EAP-MSCHAPv2(Microsoft Challenge Authentication Protocol version 2) 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지들을 재인증하여 상기 MS(200)에 대한 사용자 재인증을 수행한다(217단계). 이렇게, 상기 MS(200)에 대한 사용자 재인증을 완료하면 상기 AAA-U 서버(260)와 상기 MS(200)는 사용자 마스터 세션 키(MSK_U: Master Session Key_User, 이하 'MSK_U'라 칭하기로 한다)를 공유하게 된다(219단계, 221단계). The AAA-U
이후, 상기 AAA-U 서버(260)는 AAA-D 서버(240)로 EAP 재인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS/EAP-SUCCESS 메시지를 송신한다(223단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. 상기 AAA-D 서버(240)는 상기 AAA-U 서버(260)로부터 RADIUS/EAP-SUCCESS 메시지를 수신함에 따라 상기 MS(200)에 대한 사용자 재인증에 성공하였음을 인식하게 되고, 두 번째 EAP 재인증이 필요한지 판단한다(225단계). 여기서, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증시에도 사용자에 대해서 뿐만 아니라 기기에 대해서도 EAP 재인증을 수행해야하므로 상기 AAA-D 서버(240)는 두 번째 EAP 재인증이 필요하다고 판단하게 된다.Thereafter, the AAA-
이렇게, 두 번째 EAP 재인증이 필요하다고 판단한 AAA-D 서버(240)는 상기 기지국(220)으로 상기 MS(200)에 대한 사용자 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(227단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. 상기 기지국(220)은 상기 AAA-D 서버(240)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_U를 사용하여 첫 번째 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)인 PMK_1을 생성한다(229단계). 또한, 상기 기지국(220)은 상기 MS(200)로 사용자 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(231단계). 상기 211단계 내지 231단계의 과정을 통해 상기 MS(200)에 대한 사용자 재인증이 완료되며, 이것이 첫 번째 EAP 재인증이 되는 것이다.Thus, the AAA-
한편, 상기 기지국(220)은 기기 재인증이 필요로 되는 시점에서 상기 MS(200)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(233단계). 상기 기지국(220)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(200)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(220)으로 송신한다(235단계). Meanwhile, the
상기 MS(200)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(220)은 상기 MS(200)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 RADIUS/ ACCESS REQUEST/IDENTITY 메시지 형태로 생성하여 그대로 상기 AAA-D 서버(240)로 포워딩한다(237단계).The
상기 기지국(220)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-D 서버(240)는 상기 MS(200)에 대한 기기 재인증을 수행하는데, 상기 AAA-D 서버(240)는 EAP-TLS(Transport Level Security) 방식과, EAP-TLSPSK(Transport Level Security Pre-Shared Key) 방식과, EAP-AKA(Authentication and Key Agreement) 방식 및 EAP-PSK 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지를 재인증하여 MS(200)의 기기 재인증을 수행한다(239단계). 이렇게, 상기 MS(200)에 대한 기기 재인증을 완료하면 상기 AAA-D 서버(240)와 상기 MS(200)는 기기 마스터 세션 키(MSK_U: Master Session Key_Device, 이하 'MSK_D'라 칭하기로 한다) 를 공유하게 된다(241단계, 243단계). The AAA-
이후, 상기 AAA-D 서버(240)는 상기 기지국(220)으로 EAP 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(245단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_D를 포함한다. 상기 기지국(220)은 상기 AAA-D 서버(240)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_D를 사용하여 두 번째 PMK인 PMK_2를 생성한다(247단계). 또한, 상기 기지국(220)은 상기 MS(200)로 기기 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(249단계). 상기 233단계 내지 249단계의 과정을 통해 상기 MS(200)에 대한 기기 재인증이 완료되며, 이것이 두 번째 EAP 재인증이 되는 것이다.Thereafter, the AAA-
이렇게, 상기 MS(200)의 기기 재인증까지 완료되면, 상기 MS(200)와 기지국(220)는 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다) 동작을 수행한다(251단계). 상기 SA-TEK 3way handshake 동작이 완료되면 상기 MS(200)와 기지국(220)은 상기 PMK_1과 PMK_2로부터 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(253단계, 255단계). As such, when the
여기서, 상기 PMK_1과 PMK_2를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.Herein, an operation of generating the AK with the PMK_1 and PMK_2 will be described in detail.
먼저, 상기 MS(200)와 기지국(220)은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK_1과 PMK_2를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식1과 같은 함수로 나타낼 수 있다. First, the
상기 수학식 1에서 MSID는 현재 EAP 인증을 수행하는 MS(200)의 식별자를 나타내며, BSID는 상기 기지국(220)의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK_1과 PMK_2를 배타적 논리합(XOR) 연산한 파라미터와, MSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다. In Equation 1, MSID indicates an identifier of the
상기 도 2에서 설명한 바와 같이 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증을 수행할 경우에도 사용자 인증 및 기기 인증의 두 번의 EAP 재인증을 수행하고 있다. 따라서, 상기 두 번의 EAP 재인증으로 인해 무선 자원의 사용량이 증가하게 되고, 재인증 시간이 증가되어 결과적으로 시스템 전체 성능이 저하되었었다. As described in FIG. 2, the IEEE 802.16e communication system using the EAP-in-EAP method performs two EAP re-authentications, user authentication and device authentication, even when re-authentication is performed. Accordingly, the two EAP re-authentication increases the usage of radio resources, increases the re-authentication time, and as a result, the overall system performance is degraded.
따라서, 본 발명의 목적은 EAP-in-EAP 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템 및 방법을 제공함에 있다.Accordingly, an object of the present invention is to provide a system and method for performing reauthentication in a broadband wireless access communication system using an EAP-in-EAP scheme.
본 발명의 다른 목적은 EAP-in-EAP 방식을 사용하는 광대역 무선 접속 통신 시스템에서 한 번의 EAP 재인증만을 통해 사용자 및 기기를 재인증하는 시스템 및 방법을 제공함에 있다. Another object of the present invention is to provide a system and method for re-authenticating a user and a device through only one EAP re-authentication in a broadband wireless access communication system using an EAP-in-EAP scheme.
상기한 목적들을 달성하기 위한 본 발명의 시스템은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템에 있어서, 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 상기 AAA-U 서버와, 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 AAA-D 서버와, 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 상기 기지국과, 상기 PMK를 사용하여 상기 AK를 생성하는 상기 이동 단말기를 포함함을 특징으로 한다.The system of the present invention for achieving the above objects; A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: In a system for performing reauthentication in a broadband wireless access communication system using an Extensible Authentication Protocol (Extensible Authentication Protocol) method, a user master session key (MSK) generated by performing user reauthentication for the mobile terminal according to the EAP method. Generate a new MSK_U, MSK_U1, by using the AAA-U server transmitting MSK_U to the AAA-D server, and the device MSK (MSK_D) generated during initial authentication of the MSK_U and the mobile terminal. An AAA-D server that transmits the MSK_U1 to the base station and a pairwise master key (PMK) are generated using the MSK_U1 and an authorization key (AK: Authori) using the PMK. and the mobile station for generating the AK using the PMK and the base station for generating a zation key.
상기한 목적들을 달성하기 위한 본 발명의 방법은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 과정과, 상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 과정과, 상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과, 상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함함을 특징으로 한다.The method of the present invention for achieving the above objects; A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: A method for performing reauthentication in a broadband wireless access communication system using an Extensible Authentication Protocol), wherein the AAA-U server generates a user master session key generated by performing user reauthentication with respect to the mobile terminal according to the EAP method. (MSK: Master Session Key) (MSK_U) is transmitted to the AAA-D server, the AAA-D server using the device MSK (MSK_D) generated during the device initial authentication for the MSK_U and the mobile terminal Generating a new MSK_U, MSK_U1, and transmitting the MSK_U1 to the base station; and generating, by the base station, a pairwise master key (PMK) using the MSK_U1. And, the mobile terminal and the base station uses the authorization key PMK: characterized in that it comprises the step of generating the (AK Authorization Key).
상기한 목적들을 달성하기 위한 본 발명의 다른 방법은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-U 서버로부터 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 수신하는 과정과, 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하여 상기 기지국이 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하도록 제어하는 과정을 포함함을 특징으로 한다.Another method of the present invention for achieving the above objects is; A mobile terminal, a base station, a user authorization, authentication and accounting (AAA-U) server, and a device AAA (AAA-D) server, and a dual scalable authentication protocol (EAP: A method for performing reauthentication in a broadband wireless access communication system using an Extensible Authentication Protocol), comprising: a user master session key generated by performing user reauthentication from the AAA-U server to the mobile terminal according to the EAP method (MSK: Master Session Key) (MSK_U) and generating a new MSK_U, MSK_U1 using the MSK_U and the device MSK (MSK_D) generated during the initial authentication of the device to the mobile terminal and recall the MSK_U1 Transmitting to a base station and controlling the base station to generate a pairwise master key (PMK) using the MSK_U1. .
상기한 목적들을 달성하기 위한 본 발명의 또 다른 방법은;이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-D 서버로부터 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 생성한, 새로운 MSK_U인 MSK_U1을 수신하는 과정과, 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함하며, 상기 MSK_U는 상기 AAA-U 서버가 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증을 수행하여 생성됨을 특징으로 한다.Another method of the present invention for achieving the above object is a mobile terminal, a base station, a user authorization, authentication and accounting (AAA) server, device AAA (AAA- D) A method for performing re-authentication in a broadband wireless access communication system including a server and using a dual extensible authentication protocol (EAP) method, comprising: a user master session key (MSK) from the AAA-D server; : Receiving a new MSK_U, MSK_U1, created using a Master Session Key) (MSK_U) and a device MSK (MSK_D) generated during device initial authentication for the mobile terminal, and using the MSK_U1 to pairwise master key Generating a pairwise master key (PMK), and generating an authorization key (AK) using the PMK, wherein the MSK_U is configured by the AAA-U server according to the EAP method. And is generated by performing user reauthentication for the other mobile terminal.
이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명하기로 한다. 그리고 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In the following description of the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.
본 발명은 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭하기로 한다) 통신 시스템, 일 예로 IEEE(Institute of Electrical and Electronics Engineers) 802.16e 통신 시스템에서 재인증 시스템 및 방법을 제안한 다. 특히, 본 발명은 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하는 IEEE 802.16e 통신 시스템에서 한 번의 EAP 재인증만을 통해 사용자(user) 및 기기(device)를 재인증하는 시스템 및 방법을 제안한다. 또한, 본 발명은 twice EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 한번의 EAP 재인증만을 통해서도 Man-in-the-middle-Attack 현상을 방지하여 사용자 및 기기를 재인증하는 시스템 및 방법을 제안한다. 여기서, 상기 Man-in-the-middle-Attack 현상은 비정상적인 사용자/기기가 정상적인 사용자/기기의 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 도용하여 EAP 인증을 수행하는 현상이며, 본 발명과 직접적인 연관이 없으므로 그 상세한 설명을 생략하기로 한다. The present invention proposes a re-authentication system and method in a broadband wireless access (BWA) communication system, for example, an Institute of Electrical and Electronics Engineers (IEEE) 802.16e communication system. In particular, the present invention relates to a single IEEE 802.16e communication system using a dual extensible authentication protocol (EAP) (hereinafter, referred to as 'EAP') (hereinafter, referred to as 'twice EAP'). We propose a system and method for re-authenticating users and devices only through EAP re-authentication. In addition, the present invention proposes a system and method for re-authenticating a user and a device by preventing a Man-in-the-middle-Attack phenomenon through only one EAP reauthentication in an IEEE 802.16e communication system using a twice EAP scheme. . In this case, the Man-in-the-middle-Attack phenomenon is a phenomenon in which an abnormal user / device steals EAP authentication by using an authorization key (AK) of a normal user / device. Since the present invention is not directly related to the present invention, a detailed description thereof will be omitted.
이하, 설명의 편의상 상기 이중 EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다. 또한, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 구조는 종래 기술 부분의 도 1에서 설명한 구조와 동일하므로, 그 구체적인 설명을 생략하기로 한다. 그리고, 본 발명에서는 설명의 편의상 상기 IEEE 802.16e 통신 시스템을 일 예로 하여 설명하지만, 본 발명에서 제안하는 방안은 상기 IEEE 802.16e 통신 시스템 뿐만 아니라 다른 통신 시스템들에도 적용될 수 있음은 물론이다.Hereinafter, for convenience of description, the dual EAP method will be referred to as an 'EAP-in-EAP method', and an operation mode using the EAP-in-EAP method will be referred to as an 'EAP-in-EAP mode'. do. In addition, the structure of the IEEE 802.16e communication system using the EAP-in-EAP method is the same as the structure described in Figure 1 of the prior art, the detailed description thereof will be omitted. In the present invention, for convenience of description, the IEEE 802.16e communication system will be described as an example, but the method proposed by the present invention can be applied to other communication systems as well as the IEEE 802.16e communication system.
도 3은 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도이다.3 is a signal flow diagram illustrating an operation for performing reauthentication in an IEEE 802.16e communication system using an EAP-in-EAP scheme according to an embodiment of the present invention.
상기 도 3을 설명하기에 앞서, 종래 기술 부분에서도 설명한 바와 같이 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증 동작을 수행할 경우에도 초기 인증 동작을 수행할 경우와 마찬가지로 사용자 재인증 및 기기 재인증의 두 번의 EAP 인증들을 필요로 했었다. 그러나, 본 발명의 실시예에 따른 재인증 동작을 수행할 경우에는 사용자 재인증 및 기기 재인증을 위해 한 번의 EAP 인증만을 필요로 한다. 이하, 설명의 편의상 상기 재인증을 위한 EAP 인증을 'EAP 재인증'이라 칭하기로 한다.3, in the IEEE 802.16e communication system using the general EAP-in-EAP method as described in the prior art, the user is performed similarly to the initial authentication even when the re-authentication is performed. Two EAP certificates were required, one for re-authentication and one for device re-authentication. However, when performing the re-authentication operation according to an embodiment of the present invention, only one EAP authentication is required for user re-authentication and device re-authentication. Hereinafter, for convenience of description, the EAP authentication for reauthentication will be referred to as 'EAP reauthentication'.
상기 도 3을 참조하면, 먼저 기지국(BS: Base Station)(320)이 사용자 재인증 및 기기 재인증이 필요로 되는 시점에서 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)(300)로 EAP 재인증을 요구하는 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(300)와 기지국(320)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다) 버전 2(version 2)(이하, 'PKMv2'라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKMv2_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(320)은 상기 MS(300)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(311단계). Referring to FIG. 3, first, when a base station (BS) 320 needs user re-authentication and device re-authentication, it will be referred to as a mobile station (MS). 300, an EAP Request / Identity (hereinafter, referred to as 'EAP-REQUEST / IDENTITY') requesting EAP reauthentication is transmitted. Here, in the IEEE 802.16e communication system, privacy key management (PKM) is referred to as "PKM" between the
상기 기지국(320)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(300)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지 에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(320)으로 송신한다(313단계). Upon receiving the PKMv2_EAP_TRANSFER / EAP-REQUEST / IDENTITY message from the
상기 MS(300)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(320)은 상기 MS(300)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 사용자(user) 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다)(이하 'AAA-U'라 칭하기로 한다) 서버(360)로 그대로 포워딩(forwarding)한다. 상기 IEEE 802.16e 통신 시스템에서는 상기 기지국(320)과 AAA-U 서버(360)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신하는데, 상기 도 3에서는 상기 기지국(320)과 AAA-U 서버(360)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(320)은 RADIUS/ 억세스 요구/식별(RADIUS/ ACCESS REQUEST/IDENTITY, 이하 'RADIUS/ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA-U 서버(360)로 송신하게 된다(315단계).The
상기 기지국(320)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-U 서버(360)는 상기 MS(300)에 대한 사용자 재인증을 수행하는데, 상기 AAA-U 서버(360)는 EAP-MD5(Message-Digest5) 방식과, EAP-MSCHAPv2(Microsoft Challenge Authentication Protocol version 2) 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지들을 재인증하여 상기 MS(300)에 대한 사용자 재인증을 수행한다(317단계). 이렇게, 상기 MS(300)에 대한 사용자 재인증을 완료하면 상기 AAA-U 서버(360)와 상기 MS(300)는 사용자 마스터 세션 키(MSK_U: Master Session Key_User, 이하 'MSK_U'라 칭하기로 한다)를 공유하게 된다(319단계, 321단계). The AAA-
이후, 상기 AAA-U 서버(360)는 기기(device) AAA(이하, 'AAA-D'라 칭하기로 한다) 서버(340)로 EAP 재인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS/EAP-SUCCESS 메시지를 송신한다(323단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. Thereafter, the AAA-
상기 AAA-D 서버(340)는 상기 AAA-U 서버(360)로부터 RADIUS/EAP-SUCCESS 메시지를 수신함에 따라 상기 MS(300)에 대한 사용자 재인증에 성공하였음을 인식하게 되고, 두 번째 EAP 재인증이 필요한지 판단한다. 여기서, 본 발명에서는 재인증시 한 번의 EAP 재인증만으로 사용자 뿐만 아니라 기기 모두에 대해 재인증을 수행할 수 있으므로, 상기 AAA-D 서버(340)는 두 번째 EAP 재인증이 필요하지 않다고 판단하게 된다. 이렇게, 두 번째 EAP 재인증이 필요하지 않다고 판단한 AAA-D 서버(340)는 상기 MSK_U 이외의 또 다른 MSK_U를 생성하는데(325단계), 이를 'MSK_U1'이라 칭하기로 한다. 여기서, 상기 MSK_U1은 하기 수학식 2와 같은 KDF 함수에 의해 생성된다.As the AAA-
상기 수학식 2에 나타낸 바와 같이 MSK들, 즉 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수가 상기 KDF 함수이다. 여기서, 상기 MSK_D는 상기 MS(300)의 초기 인증시 생성되었었던 기기 마스터 세션 키(MSK_U: Master Session Key_Device, 이하 'MSK_D'라 칭하기로 한다)이다. As shown in Equation 2, a function of combining MSKs, that is, MSK_U and MSK_D to generate MSK_U1, is the KDF function. Here, the MSK_D is a device master session key (MSK_U: Master Session Key_Device, hereinafter referred to as 'MSK_D') generated during initial authentication of the
이렇게, 상기 MSK_U1을 생성한 후 상기 AAA-D 서버(340)는 상기 기지국(320)으로 상기 MS(300)에 대한 사용자 재인증 및 기기 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(327단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U1를 포함한다. 상기 기지국(320)은 상기 AAA-D 서버(340)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_U1를 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)를 생성한다(329단계). 또한, 상기 기지국(320)은 상기 MS(300)로 사용자 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(331단계). Thus, after generating the MSK_U1, the AAA-
상기 311단계 내지 331단계를 통해 상기 MS(300)에 대한 사용자 재인증 뿐만 아니라 기기 재인증이 수행되는 것이다. 이렇게, 상기 MS(300)의 사용자 재인증 및 기기 재인증이 완료되면, 상기 MS(300)와 기지국(320)는 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다) 동작을 수행한다(333단계). 상기 SA-TEK 3way handshake 동작이 완료되면 상기 MS(300)와 기지국(320)은 상기 PMK으로부터 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(335단계, 337단계). In step 311 to step 331, not only user re-authentication for the
여기서, 상기 PMK를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.Here, the operation of generating the AK with the PMK will be described in detail.
먼저, 상기 MS(300)와 기지국(320)은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식 3과 같은 함수로 나타낼 수 있다. First, the
상기 수학식 3에서 MSID는 현재 EAP 인증을 수행하는 MS(300)의 식별자를 나타내며, BSID는 상기 기지국(320)의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK와, MSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다. In Equation 3, MSID represents an identifier of the
상기 수학식 3에 나타낸 바와 같이 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 사용자 재인증시 생성한 MSK_U와 기기 초기 인증시 생성한 MSK_D 모두를 사용하여 생성한 PMK를 가지고 AK를 생성하기 때문에 Man-in-the-middle-Attack 현상이 발생하는 것을 방지할 수 있다. 즉, 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 1번의 EAP 재인증만으로도 Man-in-the-middle-Attack 현상이 발생하지 않는 사용자 재인증 및 기기 재인증이 가능하므로 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 2번의 EAP 재인증을 수행함으로 인해 발생되었던 무선 자원의 사용량 증가 및 재인증 시간 증가를 해소하여 시스템 전체 성능을 향상시킨다. As shown in Equation 3, in the IEEE 802.16e communication system using the EAP-in-EAP method according to an embodiment of the present invention, the MSK_U generated during user reauthentication and the MSK_D generated during initial device authentication are generated. Since AK is generated with PMK, Man-in-the-middle-Attack can be prevented from occurring. That is, in the IEEE 802.16e communication system using the EAP-in-EAP method according to an embodiment of the present invention, the user re-authentication and device re-authentication that does not occur Man-in-the-middle-Attack phenomenon by only one EAP re-authentication Since authentication is possible, the system performance is improved by eliminating the increase in the use of wireless resources and the increase in reauthentication time caused by two EAP reauthentication in the IEEE 802.16e communication system using the general EAP-in-EAP method. .
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the scope of the following claims, but also by the equivalents of the claims.
상술한 바와 같은 본 발명은, EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 1번의 EAP 재인증만으로도 Man-in-the-middle-Attack 현상이 발생하지 않는 사용자 재인증 및 기기 재인증을 가능하게 하여 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 2번의 EAP 재인증을 수행함으로 인해 발생되었던 무선 자원의 사용량 증가 및 재인증 시간 증가를 해소하여 시스템 전체 성능을 향상시킨다는 이점을 가진다. As described above, the present invention provides a user re-authentication and device re-authentication in which a man-in-the-middle-Attack phenomenon does not occur with only one EAP re-authentication in an IEEE 802.16e communication system using an EAP-in-EAP method. In order to improve overall system performance by eliminating the increase in the use of wireless resources and the increase in reauthentication time caused by performing two EAP reauthentication in the IEEE 802.16e communication system using the general EAP-in-EAP method. Has an advantage.
Claims (20)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050108811A KR20070051233A (en) | 2005-11-14 | 2005-11-14 | System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system |
US11/503,011 US20070112967A1 (en) | 2005-11-14 | 2006-08-11 | Re-authentication system and method in communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050108811A KR20070051233A (en) | 2005-11-14 | 2005-11-14 | System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20070051233A true KR20070051233A (en) | 2007-05-17 |
Family
ID=38042256
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050108811A KR20070051233A (en) | 2005-11-14 | 2005-11-14 | System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system |
Country Status (2)
Country | Link |
---|---|
US (1) | US20070112967A1 (en) |
KR (1) | KR20070051233A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8433286B2 (en) | 2007-03-21 | 2013-04-30 | Samsung Electronics Co., Ltd | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network |
KR101289133B1 (en) * | 2007-05-14 | 2013-07-23 | 삼성전자주식회사 | A method and apparatus of Key Generation for security and authentication in mobile telecommunication system |
US8571211B2 (en) | 2007-05-14 | 2013-10-29 | Samsung Electronics Co., Ltd | Method and apparatus for generating security key in a mobile communication system |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007134547A1 (en) * | 2006-05-24 | 2007-11-29 | Huawei Technologies Co., Ltd. | A method and system for generating and distributing mobile ip security key after reauthentication |
DE102006038592B4 (en) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Method and device for providing a wireless mesh network |
KR101365857B1 (en) * | 2007-06-14 | 2014-02-21 | 엘지전자 주식회사 | Method for providing confidentiality protection of control signaling using certificate |
US8335490B2 (en) * | 2007-08-24 | 2012-12-18 | Futurewei Technologies, Inc. | Roaming Wi-Fi access in fixed network architectures |
US20090191849A1 (en) * | 2008-01-28 | 2009-07-30 | International Business Machines Corporation | Enhanced messaging collaboration |
US20100106971A1 (en) * | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
US8695082B2 (en) * | 2008-10-27 | 2014-04-08 | Nokia Siemens Networks Oy | Method and communication system for accessing a wireless communication network |
US8566593B2 (en) * | 2009-07-06 | 2013-10-22 | Intel Corporation | Method and apparatus of deriving security key(s) |
US8881305B2 (en) * | 2009-07-13 | 2014-11-04 | Blackberry Limited | Methods and apparatus for maintaining secure connections in a wireless communication network |
EP2540057A2 (en) * | 2010-02-26 | 2013-01-02 | General instrument Corporation | Dynamic cryptographic subscriber-device identity binding for subscriber mobility |
US9801099B2 (en) * | 2013-05-15 | 2017-10-24 | Blackberry Limited | Method and system for use of cellular infrastructure to manage small cell access |
US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8972582B2 (en) * | 2002-10-03 | 2015-03-03 | Nokia Corporation | Method and apparatus enabling reauthentication in a cellular communication system |
US7882346B2 (en) * | 2002-10-15 | 2011-02-01 | Qualcomm Incorporated | Method and apparatus for providing authentication, authorization and accounting to roaming nodes |
US7206301B2 (en) * | 2003-12-03 | 2007-04-17 | Institute For Information Industry | System and method for data communication handoff across heterogenous wireless networks |
TWI234978B (en) * | 2003-12-19 | 2005-06-21 | Inst Information Industry | System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN |
EP1712058A1 (en) * | 2004-02-06 | 2006-10-18 | Telecom Italia S.p.A. | Method and system for the secure and transparent provision of mobile ip services in an aaa environment |
US7546459B2 (en) * | 2004-03-10 | 2009-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | GSM-like and UMTS-like authentication in a CDMA2000 network environment |
US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
-
2005
- 2005-11-14 KR KR1020050108811A patent/KR20070051233A/en not_active Application Discontinuation
-
2006
- 2006-08-11 US US11/503,011 patent/US20070112967A1/en not_active Abandoned
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8433286B2 (en) | 2007-03-21 | 2013-04-30 | Samsung Electronics Co., Ltd | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network |
KR101289133B1 (en) * | 2007-05-14 | 2013-07-23 | 삼성전자주식회사 | A method and apparatus of Key Generation for security and authentication in mobile telecommunication system |
US8571211B2 (en) | 2007-05-14 | 2013-10-29 | Samsung Electronics Co., Ltd | Method and apparatus for generating security key in a mobile communication system |
Also Published As
Publication number | Publication date |
---|---|
US20070112967A1 (en) | 2007-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100770928B1 (en) | Authentication system and method thereofin a communication system | |
KR20070051233A (en) | System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system | |
JP4921557B2 (en) | Security authentication and key management method in infrastructure-based wireless multi-hop network | |
EP1900170B1 (en) | Short authentication procedure in wireless data communications networks | |
KR101901448B1 (en) | Method and apparatus for associating statinon (sta) with access point (ap) | |
US7793103B2 (en) | Ad-hoc network key management | |
US7890745B2 (en) | Apparatus and method for protection of management frames | |
US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
AU2004244634B2 (en) | Facilitating 802.11 roaming by pre-establishing session keys | |
US8495360B2 (en) | Method and arrangement for providing a wireless mesh network | |
TWI445371B (en) | Methods and devices for establishing security associations and performing handoff authentication in wireless communications systems | |
US20050271209A1 (en) | AKA sequence number for replay protection in EAP-AKA authentication | |
JP2010503326A5 (en) | Security authentication and key management method in infrastructure-based wireless multi-hop network | |
JP2011139457A (en) | System and method for secure transaction of data between wireless communication device and server | |
Zhu et al. | Research on authentication mechanism of cognitive radio networks based on certification authority | |
KR20080090733A (en) | Method and system for security association in broadband wireless communication system based on multi-hop | |
Falk et al. | WiMAX Security Architecture | |
KR20080004920A (en) | An improved ticket-based eap-aka protocol for interworking of umts, wlan, and wibro |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |